ビジネスメール詐欺(BEC):2,600億ドルの損失を踏まえた文脈
6月 1, 2022 | < 1 分で読めます
過去4年間で、情報セキュリティコミュニティはビジネスメール詐欺(BEC)とナイジェリアのサイバー犯罪組織の内部動向について多く学んできました。
BEC詐欺は、50州すべてと世界177カ国で報告されていることを知っています。また、2016年6月以来、BECの結果として260億ドル以上が失われたことを知っています。しかし、これだけのレベルでも、ビジネスメール詐欺の背後にいる脅威の行為者が企業や個人に与えた被害の表面をかいている可能性があることも知っています。
私たちがみな学んできたように、BECの背後にある同じ脅威の行為者は、ロマンス詐欺、在宅勤務のスキーム、宝くじ詐欺からワイヤー詐欺、アカウント乗っ取り(ATO)、給与の転用詐欺、W2詐欺、そして(さらに)他のさまざまな犯罪に関与しているためです。
BECと関連する419スキーム(ナイジェリアの刑法419条にちなんで名付けられました)を追跡する際、さまざまな異なる悪質な活動がしばしば一緒にまとめられます。なぜなら、犯罪を特定のマルウェアファミリーを使用して行われたものと追跡する場合のように、境界線がほとんどはっきりしていないからです。
それでも、ビジネスメール詐欺による260億ドルの損失は、本当に大きな数字ですよね?しかし、その損失を業界が直面する他の脅威と比較することで文脈に置くことが重要です。ご覧いただく通り、私たちが知っていることは十分に怖いです。しかし、私を夜中に起こしているのは、私たちが知らないことです。
BECの損失:財務省の推定額の2倍以上?
基本から始めましょう。2018年、米国財務省の金融犯罪取締ネットワーク(FinCEN)からのデータを見たことがあります。そのデータによると、2018年にBECからの損失は月額3億ドルを超えました。これは年間で36億ドル以上であり、多くの警戒を引き起こす理由です。
しかし、それは極めて楽観的に見えます。不審な活動報告(SAR)がFinCENとFBIのインターネット犯罪苦情センター(IC3)の両方で100%同期されていると仮定しても、IC3からの数字はまったく異なる状況を示しています。
IC3によると、2016年6月から2019年7月までの間にBEC詐欺で260億ドルが失われました。では、それは月間でどれくらいですか?
260億ドル÷37ヶ月=1ヶ月あたりのBEC損失額は約7億2,000万ドル
それは、1日あたり2300万ドル、1時間あたり975,975.98ドル、またはBECによって1分あたり16,266.27ドルの損失です。ちょっと考え込んでみてください。お待ちします。
セキュリティ研究者は、ドラマを増幅させるために数字を過大評価するマーケティングチームを非難するのが好きです。しかし、この場合、260億ドルは誇張されていません。実際、それはまったく推定値ではありません。すべてのドルが被害者に関連しています。そして、そのうちの一部のお金が成功裏に戻されたとしても、それは依然としてビジネス界の総曝露額(またはIC3の用語で「露出したドル」)を表しています。
260億ドルの文脈に置く
260億ドルは取るに足らないものではありません。これはフォーチュン500社に相当します。今年のリストでは、Kraft Heinzが115位であり、Mondelez InternationalやUS Bancorpよりも上に位置しています。もし260億ドルが国だったら、GDPによる世界でトップ30の最大の経済の中にランクされるでしょう。
確かに、ランサムウェアはより多くの見出しを生み出しますが、BECは現在、EMEA地域でのサイバー保険請求のトップドライバーです。AIGによると、すべての請求の24%を占めています。しかし、これがどういう意味を持つのかをより良く理解するために、数学を見てみましょう。
BECが少なくとも1ヶ月あたり7億2,000万ドルの損失を引き起こすことを知っています。次の方程式を使用して、他のキャンペーンの損失を時間経過ごとのBECが同じ被害を引き起こすのに必要な日数に変換できます。
(キャンペーンごとの損失(ドル) 損失(ドル)÷(1日あたりのBEC損失額)× 30日 = 日数
さまざまな形式のマルウェア攻撃による財務上の損失と、いくつかの他のベンチマークとの比較を見てみましょう。実際、見出しを取るような劇的な攻撃でも、成功したBEC詐欺がわずか数日で生み出す損失と同じ額を生み出すのに数年かかることがあります。
| キャンペーンまたは対象 | 運用時間 | 確定した総損害 | BECが同じ被害を引き起こすのにかかる日数 |
| ゲームオーバーゼウス | 2年 | 1億ドル | 4.2日 |
| 泣きたい | “到達できた” 40億ドルの損害 | 171.4日 | |
| ガンドクラブ | 1年 | 3億ドル | 12.9日 |
| ペティアではありません | 12億ドル | 51.4日 | |
| ソニー攻撃 | 3,500万ドル | 1.5日 | |
| ゴズヌイ | 約3年 | 1億ドル | 4.3日 |
| カーボンブラック買収 | 21億ドル | 89.7日 | |
| 最大のテスラモデルS | 114,990ドル | 425秒 | |
| ナイジェリアの平均年収 | 1年 | 15,463.68米ドル | 1分未満 |
| アメリカの平均年収 | 1年 | 56,516ドル | 4分未満 |
未知のことを認識することがなぜそんなに不安なのか
サイバー犯罪による金銭的損失の他に、人間に与える影響もあります。病院を襲うランサムウェア攻撃には命に関わる深刻な結果が生じる可能性があります。しかし、電子メール詐欺リングも同じくらい致命的です。たとえば、電子メールを使用したロマンス詐欺の被害者の中には自殺する人もおり、それは感情的な混乱のために起こるものであり、私たち自身のデータでそれを文書化しています。私たちは、恋を求める人々がソーシャルエンジニアリングの被害に遭い、結果として自宅を売り、子供たちを学校から引き上げるなど、財政的な破綻に陥る複数の事例を目撃してきました。それは、被害者の生活に欠けている愛情と愛を提供するオンラインの誤った相手によるものです。
ここで未知の要素が登場します。2017年には合計で15,000件のロマンス詐欺が特定され、2018年にはさらに18,000件が特定されましたが、この種の詐欺に引っかかった場合の社会的なスティグマのために、報告されていないケースがさらに多く存在します。他にどれだけの被害者がいるのでしょうか?
1つの詐欺、関連する犯罪の網
過去4年間で、多くの詐欺師がロマンス詐欺を通じて盗まれたアカウントを利用してBEC攻撃を行っていることを学びました。実際、Scattered CanaryというBEC犯罪リングの調査の過程で、BECと無数の他のサイバー犯罪活動との以前に知られていなかった関連性を発見しました。既に260億ドルの損失が混乱を招いている中、さらにいくつかの質問で火に油を注ぎましょう。宝くじ詐欺の被害者は何人いますか?どれだけのフィッシングされたログイン資格情報が見落とされ、今後のベンダーメール詐欺(VEC)スキームや他の攻撃で利用可能になっていますか?
BEC行為者が犯したW2詐欺は報告されず、追跡されていないのはいくつありますか?これらおよび他の攻撃で盗まれた情報が使用されて、いくつの人々が自分の電子メールアカウントを乗っ取られ、他の電子メール詐欺に使用されましたか?いくつの学生や苦しんでいる高齢者が、在宅勤務詐欺に無意識に勧誘され、偽の小切手をさらに多くの被害者に送る任務を与えられましたか?いくつのBEC事件が隠蔽され、ビジネスを行うための費用として処理されましたか?
これらは私たちが知っていることによって尋ねることができるわずかな質問ですが、私たちが知らないことはどうでしょうか?はい、260億ドルの既知のBEC損失は恐ろしいです。しかし、私たちが知らないことはまったく恐ろしいです。
You might be interested in reading:
ドメインのDMARCセキュリティコンプライアンスを確認する
DMARC、SPF、DKIMを数ヶ月ではなく数日で実施
Skysnagは、忙しいエンジニアがDMARCを適用し、SPFやDKIMの設定ミスに対応することを支援します。これによりメールの到達率が向上し、メールスプーフィングや身元詐称を排除します。